什么是SSL证书？

SSL证书就像网站的"身份证"和"保险箱"，它有两个主要功能：一是验证网站的真实身份（防止钓鱼网站），二是加密传输数据（防止信息被窃听）。当你在浏览器地址栏看到一个小锁图标时，就表示这个网站使用了SSL证书。

举个例子：当你在网上购物输入信用卡信息时，如果没有SSL加密，这些敏感数据就像明信片一样在网络上传递，任何人都能查看。而有了SSL后，这些数据就变成了只有收件人才能打开的密码箱。

准备工作

在IIS上安装SSL证书前，你需要准备三样东西：

1. CSR文件（证书签名请求）：就像去办身份证前填写的申请表

2. SSL证书文件：从CA机构获得的正式"身份证"

3. 私钥文件：你的专属密钥，绝对不能泄露

常见的CA机构有DigiCert、GlobalSign、Let's Encrypt（免费）等。购买后你会获得几个文件：

- .crt或.pem文件（公钥证书）

- .key文件（私钥）

- 有时还有.ca-bundle文件（中间证书）

IIS安装SSL证书详细步骤

第一步：生成CSR并申请证书

1. 打开IIS管理器

2. 点击服务器名称 → 选择"服务器证书"

3. 右侧操作面板点击"创建证书申请..."

4. 填写你的域名信息（如www.yourdomain.com）

5. 选择加密算法（推荐2048位RSA）

6. 指定保存CSR文件的位置

这就好比你去办护照前先填写申请表。这个CSR文件中包含了你的公钥和网站信息。

第二步：导入SSL证书到IIS

拿到CA颁发的证书后：

1. 回到IIS的"服务器证书"

2. 点击"完成证书申请"

3. 选择你收到的.crt或.pem文件

4. 给这个证书起个容易识别的名字

5. 确定导入

小技巧：如果CA提供了多个.crt文件，可能需要将中间证书和根证书合并成一个.pem文件再导入。

第三步：绑定HTTPS到网站

现在给你的网站穿上"安全外套"：

1. IIS管理器中选择目标网站

2. 右侧点击"绑定..."

3. "添加绑定"，类型选https

4. IP地址选你要绑定的IP或全部未分配

5. SSL证书选择你刚导入的那个

6. "主机名"填写你的域名（如www.yourdomain.com）

注意点：

- SSL端口默认443不要改

- SNI(Server Name Indication)选项要勾选如果你有多个域名共享IP

第四步：强制HTTPS跳转(可选)

为了确保所有访问都走安全通道：

1. URL重写模块中创建规则

2. "匹配URL模式": (.*)

3. "条件": {HTTPS} off

4. "操作类型": Redirect

5. "重定向URL": https://{HTTP_HOST}/{R:1}

6: "状态码": Permanent (301)

这样无论用户输入http还是https都会自动跳转到安全连接。

SSL配置优化和安全加固

仅仅安装还不够，还需要优化配置：

HSTS设置(HTTP严格传输安全)

在web.config中添加：

```xml

```

这告诉浏览器："以后访问我都用HTTPS！"

TLS版本控制

禁用不安全的旧协议：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello]

[HKEY_LOCAL_MACHINE...]

建议只启用TLS1.2和TLS1.3。

OCSP装订配置(提高性能)

缩短验证时间：

certutil -setreg chainminRSAPubKeyBitLength2048 & net stop cryptsvc & net start cryptsvc

Let's Encrypt免费方案实操案例

对于预算有限的用户可以使用免费的Let's Encrypt：

1. Windows下使用Win-Acme工具自动化管理：

```

wacs.exe --target manual --host www.yourdomain.com --validation filesystem --validationmode http-01 --store centralssl --installationsiteid [你的站点ID]

2.Certify The Web也是不错的GUI工具选择。

免费方案适合个人博客和小型网站，但商业站点建议使用付费企业级CA以获得更好的支持和保障。

SSL配置常见问题排查

遇到问题别慌，先检查这些点：

错误提示："此站点的安全连接存在问题"

检查步骤：

1) `openssl s_client -connect yourdomain.com:443 -servername yourdomain.com`

查看完整握手过程

2) `certmgr.msc`查看本地计算机的受信任根存储是否有该CA根证书记录不全的情况。

3) IIS中确认绑定的主机名与访问的域名完全一致。

4) CDN/防火墙是否拦截了443端口？

性能问题：

启用硬件加速(Netsh命令配置Schannel参数)，或者考虑升级到支持TLS1.

通过以上步骤和优化措施，你应该已经成功为IIS网站穿上了安全的HTTPS外衣。记住定期更新到期续费哦！

TAG:iis 如何设置ssl证书,iis配置ssl,iis证书安装教程,iis配置ssl证书,iis创建证书申请,iis配置https证书